Le CEPD a publié ses observations formelles sur un ensemble de trois propositions législatives relatives à une Union européenne de la santé. Il se félicite d’une approche européenne unifiée pour faire face aux menaces sanitaires transfrontalières tout en respectant le rôle et les compétences des systèmes de santé nationaux des États membres de l’UE. Dans ces commentaires formels, il prend note des mesures positives prises par la Commission pour renforcer davantage une approche coordonnée en matière de santé et, en particulier, pour élargir les tâches de l’Agence européenne des médicaments et du Centre européen de prévention et de contrôle des maladies. Ces deux organismes de l’UE se sont révélés des atouts clés dans la gestion de la pandémie de COVID-19.
Proposition de règlement sur le renforcement du rôle de l’Agence européenne des médicaments (EMA) dans la préparation et la gestion des crises pour les médicaments et les dispositifs médicaux
Le CEPD recommande que des dispositions spécifiques concernant l’application de la législation sur la protection des données soient incluses dans la proposition. De même, le rôle des entités concernées par la législation sur la protection des données devrait également être couvert dans la proposition. Plus précisément, en ce qui concerne le traitement des « données électroniques sur la santé en dehors des études cliniques » et des « données en temps réel », il faudrait inclure une définition claire des « données générées en dehors de la portée des essais cliniques » et préciser la signification des « données du monde réel ». au moins des exemples du type de données concernées et des fins auxquelles ces données seront utilisées.
Proposition relative à la création d’un Centre européen de prévention et de contrôle des maladies (CEPCM)
Le CEPD formule une série de recommandations. Il indique notamment que:
- les catégories de personnes qui feront traiter leurs données à caractère personnel devraient être clairement délimitées avec une description des mesures spécifiques visant à protéger les droits et libertés des personnes concernées, conformément à la législation sur la protection des données;
- identifier clairement les situations dans lesquelles les tâches, dans le cadre de la mission du CEPCM, impliqueront le traitement des données à caractère personnel et mettre en place un mécanisme de gouvernance des données solide qui nécessite l’identification claire des principaux acteurs impliqués dans le traitement des données à caractère personnel.
En ce qui concerne les nouvelles tâches du CEPCM concernant les plateformes numériques et les applications soutenant la surveillance épidémiologique, le CEPD note que ces applications sont susceptibles de présenter des risques élevés pour les droits et libertés des individus et, exigent donc qu’une étude d’impact sur la protection des données (DPIA) soit réalisée avant leur déploiement. En outre, le CEPD insiste sur le fait que les applications de recherche de contacts utilisent des technologies améliorant la confidentialité.
En ce qui concerne la mission de l’CEPCM d’établir et d’exploiter un réseau de services nationaux de sang et de greffe et les autorités nationales de ce réseau, le CEPD encourage le développement d’un code de conduite pour le traitement des données à caractère personnel en tant que catalyseur efficace de l’échangeéchange frontalier de ces données, ce qui apporterait davantage de clarté et de confiance dans le nouveau système.
Proposition de règlement sur les menaces transfrontières graves pour la santé
Le CEPD recommande de prévoir de nouveaux actes d’exécution ou de délégation qui fixeraient les rôles des acteurs impliqués dans le traitement des données à caractère personnel par l’utilisation des outils et systèmes informatiques envisagés dans la proposition.
Compte tenu des risques potentiels liés à l’utilisation de systèmes de surveillance et d’intelligence artificielle, le CEPD recommande que le CEPCM procède à un DPIA avant le déploiement d’une plateforme numérique. Le CEPD souligne également que, à moins que le responsable du traitement des données ne prenne des mesures pour atténuer le risque dans les cas où la DPIA révèle que le traitement des données à caractère personnel comporterait un risque élevé pour les droits et libertés des individus, il existe une obligation de consulter l’autorité de contrôle en vertu de l’article 40 du règlement (UE) 2018/1725.
De façon similaire, mais en relation avec le Système d’Alerte Précoce et de Réaction (SAPR), le CEPD réitère qu’un DPIA devrait être réalisé avant le traitement des données à caractère personnel au moyen de technologies innovantes si le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des individus. En outre, le CEPD attire l’attention des législateurs européens sur les lignes directrices CEPD 04/2020 concernant l’utilisation des données de localisation et des outils de suivi des contacts dans le contexte de la COVID-1919 qui fournissent des orientations et des éclaircissements utiles sur les conditions et les principes entourant l’utilisation des données de localisation et des outils de recherche des contacts de manière proportionnée.
Enfin, en ce qui concerne les trois propositions, le CEPD réitère que les transferts de données à caractère personnel vers des pays tiers ou des organisations internationales doivent être conformes au règlement (UE) 2018/1725, y compris au chapitre V du présent règlement.
Lignes directrices du CEPD n. 04/2020 sur l’utilisation des données de localisation et des outils de recherche de contacts dans le contexte de l’épidémie de COVID-19:
edpb_guidelines_20200420_contact_tracing_covid_with_annex_en